Online-Banking ermöglicht einen schnellen und unkomplizierten Zahlungsverkehr im täglichen Privat- und Berufsleben. Doch mit der Popularität des Online-Bankings ging auch eine erhöhte Computerkriminalität einher.
Die Internetsicherheit stellt daher einen Kernbereich für die Vermeidung von kriminellen Übergriffen dar. Die Sicherheitstechniker und Saboteure liefern sich einen stetig einen digitalen Schlagabtausch.
Im Mittelpunkt steht dabei sehr häufig das sogenannte „Phishing“. – Was ist das? – Welcher Schutz besteht gegen Betrug und der Straftat für die Betroffenen?
Dabei handelt es sich um Vorgänge, bei denen versucht wird, sich persönliche Daten von Internet-Nutzern zu „angeln“ (angelehnt an das englische „fishing“), indem gefälschte Internetseiten oder Nachrichten verwendet werden. Das Ziel der Täter ist es zumeist, die Gutgläubigkeit der Opfer zum eigenen Vorteil zu nutzen und somit auf deren Konten zuzugreifen.
Dass es sich hierbei um einen Computerbetrug im Sinne des § 263 a Absatz 1 Strafgesetzbuch handelt, steht meist außer Frage. Weniger eindeutig ist jedoch die Frage, ob – nachdem der Betrüger zumeist nicht greifbar ist – der Kunde sich bei der Bank schadlos halten und verlangen kann, dass das Geld seinem Konto wieder gutgeschrieben wird:
„Grundsätzlich steht dem Kontoinhaber bei unberechtigter Kontobelastung eine valutagerechte Korrektur seines Kontostandes im Sinne des § 675 u Satz 2 Bürgerliches Gesetzbuch (BGB) zu.“
Bedeutet für den betroffenen Bankkunden?
Hiernach ist der Zahlungsdienstleister im Falle eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstattet und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Die Beweislast dafür, „dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde“, trägt nach § 675 w Satz 1 BGB hierbei die Bank als Zahlungsdienstleisterin.
Dies hat für Regressansprüche von Kunden wegweisende Bedeutung:
Denn gelingt der Bank dieser Nachweis nicht, ist der Kontostand zugunsten des Kontoinhabers zu korrigieren. Zumeist müsste die Bank in einem öffentlichen Gerichtsverfahren ihre internen Abläufe offenlegen, was eine Bank nur sehr ungerne macht und daher wie bereits einige Fälle gezeigt haben, häufig einigungsbereit sind.
Fazit: Vorsicht bei Beantwortung einer Phishing-Mail! – Welche Vorsichtsmaßnahmen müssen die Kunden einhalten?
„Im Wege stehen könnte dem Kunde einzig, dass er auf eine Phishing-Mail geantwortet hat“, so Rechtsanwalt Dr. Schulte. Denn hat der Kunde gegen seine Pflichten zum sorgsamen Umgang mit seiner PIN verstoßen, stünde der Bank ein entsprechender Schadensersatzanspruch nach § 675 v Absatz 2 Nummer 2 BGB zu und die Kontobelastung wäre zu Recht erfolgt. Allerdings obliegt der Bank die Beweislast dafür, dass der Kunde auf eine Phishing-Mail hin seine PIN oder TAN auf einer Fake-Seite eingegeben hat. Alleine der Umstand, dass die richtige Nummer für die Überweisung verwandt wurde, genügt beim telefon-Banking wie Online-Banking jedoch nicht (hier greift kein sogenannter Anscheinsbeweis = Schluss von richtiger Nummer Verwendung auf deren Mitteilung durch den Kunden). Lediglich wenn der Kunde selbst mitgeteilt hat, Opfer einer Phishing-Attacke geworden zu sein, wird ein Ersatzanspruch des Kunden daher rechtlich nicht zu erlangen sein; ansonsten müsste die Bank beweisen, dass unter anderem ein Hackerangriff auf den Bankserver nicht möglich ist, was wiederum sehr schwierig erscheint.